CISA, киберведомство США, признало отсутствие плана реагирования после утечки учетных данных сотрудником на GitHub
Агентство по кибербезопасности и защите инфраструктуры США (CISA) сообщило, что им пришлось разрабатывать план реагирования на инцидент уже по ходу его развития, после того как подрядчик допустил утечку конфиденциальных данных для доступа к правительственным системам на GitHub.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) признало в своем отчете по итогам инцидента (post-mortem), что у ведомства не было заранее разработанного плана действий (playbook) на случай утечки важных данных в облаке, произошедшей в мае. В результате сотрудникам пришлось "тратить время на создание [playbook] в начале инцидента", одновременно решая текущие проблемы.
Инцидент начался в мае, когда исследователи безопасности из компании GitGuardian обнаружили большое количество конфиденциальных данных, таких как ключи и учетные данные (credentials) для доступа к правительственным системам США, хранящихся в общедоступном репозитории GitHub. Эти данные были загружены сотрудником подрядчика, работающего на CISA. Исследователи пытались напрямую связаться с компанией-подрядчиком, чтобы уведомить ее, но не получили ответа.
История стала достоянием общественности после того, как исследователи сообщили о ней Брайану Кребсу, независимому журналисту-расследователю в области кибербезопасности. Кребс напрямую связался с CISA, и только после этого CISA предприняла действия по удалению репозитория из системы и немедленно отозвала или изменила все скомпрометированные конфиденциальные данные.
Примечательно, что CISA на протяжении многих лет активно призывала и требовала от организаций, как государственных, так и частных, разрабатывать планы действий (playbooks) для реагирования на различные типы киберинцидентов. Однако в последнем отчете само агентство признало, что "ранее упустило возможность создать GitHub/Cloud playbook" специально для таких ситуаций. Тем не менее, CISA подтвердила, что после инцидента не было обнаружено доказательств использования утекших данных злоумышленниками, и никакая клиентская или другая конфиденциальная информация не пострадала.
Этот инцидент служит важным напоминанием о том, что даже национальные агентства, отвечающие за кибербезопасность, могут иметь пробелы в своих процессах. Он также подчеркивает важность наличия заранее подготовленного плана реагирования для любой ситуации, а не создания его только после возникновения проблемы.